将InsightConnect事件发送到InsightIdr
InsightIDR中的Investigation特性允许您收集事件的上下文,并进行有效协作以纠正和关闭它们。当您使用此特性时,您可以在InsightConnect中触发自动化工作流,以帮助更快地通过事件生命周期。这些工作流可以生成事件或日志,您可以将这些事件或日志发送回InsightIDR,以提供更多的安全数据。
InsightConnect与数百种流行的安全工具连接,帮助检测异常活动并向安全团队发出警报。用户可以对这些警报进行额外的补充,然后将它们输入InsightIDR,以便在InsightIDR的Investigations特性中处理它们。用户可以创建自定义警报,对传入的InsightConnect数据发出警报。
通过将您的InsightConnect日志添加到InsightIdr,您可以使用Insigrops创建可自定义的仪表板。
以下是如何将InsightConnect事件发送到InsightIdr的概述:
设置InsightConnect事件源
要在InsightIdr中创建新的事件源:
- 点击设置在左侧导航栏中。
- 点击设置事件源>添加事件源.
- 单击自定义日志原始数据下的事件源。
- 为事件源添加名称,如InsightConnect。
- 为Orchestrator选择时区。
- 选择收集器以将与事件源相关联。
- 注意您选择的采集器,以便在本步骤的步骤10中找到它的IP地址。
- 选择听Syslog.作为您的收集方法。
- 在“端口”字段中,输入未过载的端口号。例如,您可以使用端口65218。
- 请注意此端口号以供以后的InsightConnect配置。
- 在“协议”字段中,选择其中之一UDP或TCP.选择TCP如果你想发送加密数据。
- 导航到收藏家选项卡下设置。在步骤6中选择的采集器下,记录其IP地址,以便在InsightConnect中进行后续配置。
在InsightConnect中添加Syslog转发器步骤
要从InsightConnect工作流发送日志,请将Syslog转发器步骤添加到工作流程。
要将Syslog转发器步骤添加到工作流程:
- 登录您的InsightConnect实例。
- 在左侧导航栏中展开Workflow,导航到要添加Syslog转发器步骤的Workflow。
- 单击+图标,添加步骤。
- 选择行动步骤.
- 如果已下载Syslog转发器,请跳过步骤8。
- 如果您尚未下载Syslog转发器,请单击“+添加插件按钮,执行步骤5。
- 搜索syslog转发器.
- 选择syslog转发器通过Rapid7并按下一个.
- 点击进口插件将安装。
- 选择syslog转发器从“from Plugins”菜单中点击继续.
- 选择转发信息并按继续.
- 点击+添加一个新连接.
- 在“连接名称”字段中,添加连接的名称。
- 这个连接将存在于何处?字段选择相关的协调器。
- 在“主机”字段中,输入您在步骤10中注意到的收集器IP地址设置InsightConnect事件源部分。
- 在“端口”字段中,输入在第8步骤8中设置的Syslog侦听器端口号设置InsightConnect事件源部分。
- 在Transport字段中,选择UDP或TCP根据您在第9步中选择的协议设置InsightConnect事件源部分。
- 将您想要在消息字段中的日志中发送消息。您可以在JSON中编写消息,但它将被格式化为一个由syslog摄取的字符串。
- 将设施字段设置为Local0.有关更多信息,请参阅此处:https://success.trendmicro.com/solution/tp000086250-what-are-syslog-facities-and-levels.
- 填写Level、Host和MessageID字段。这些字段的值将根据您如何使用Syslog而变化。请看下面的示例截图,点击这里获取更多信息:https://success.trendmicro.com/solution/tp000086250-what-are-syslog-facities-and-levels.
查看InsightIdr中的InsightConnect日志
在InsightIDR中可以通过两种方式查看InsightConnect日志。
第一种方法是:
- 导航设置.
- 选择事件源.
- 找到InsightConnect事件源。
- 点击查看原始日志.
第二种方法是:
- 点击日志搜索在左侧导航栏中。
- 只选择了原始数据logset。
- 选择Insightconnect.并取消选择所有其他日志。
这个页面对你有帮助吗?